中国间谍活动的黑客攻击曝光

关键要点

一种与中国关联的不明间谍威胁行为者被认为是近期针对Barracuda Networks的零日攻击的幕后黑手。Barracuda估计全球约5的其电子邮件安全网关ESG设备受到了影响，这一关键漏洞被追踪为CVE20232868。该攻击涉及远程命令注入，并且Barracuda已建议客户立即更换受影响的设备。Mandiant负责调查此漏洞，并认为这是一个与中国有关的大规模间谍活动。

最近发现的针对Barracuda Networks电子邮件安全网关设备的零日攻击，似乎均与一种与中国相关的不明间谍威胁行为者有关。Barracuda公司表示，约5的ESG设备受到了这一关键漏洞影响，此漏洞被归类为CVE20232868，并在上个月得到了修复。

这次远程命令注入攻击的严重性促使Barracuda在上周采取了不同寻常的举措，告知客户应立即更换所有受影响的设备。Barracuda聘请了Mandiant调查该漏洞，在他们今天发布的博文中，描述了这一攻击作为与中国有关的广泛运动，由一个被称为UNC4841的不明间谍行为者实施。

“虽然当前Mandiant并未将这项活动归属到先前已知的威胁组织，但我们已识别出几种基础设施和恶意软件代码的重叠，给予我们对其为中国间谍行动的高度信心，”研究人员Austin Larsen、John Palmisano、Mathew Potaczek、John Wolfram、Nino Isakovic和Matthew McWhirt写道。

海鸥加速器6.5.1下载

针对影响中国的事务进行间谍活动

一些受损的ESG设备的数据已被窃取，Mandiant观察到了针对特定个人和组织的“定向收集”电子邮件数据。目标包括驻东南亚的亚洲和欧洲政府官员，以及来自台湾和香港的学者。

“此外，在组织和个人账户层面上的定向攻击，特别关注与中国政府PRC政策优先事项高度相关的问题，特别是在包括台湾在内的亚太地区。”

Mandiant表示，已知受攻击的受害者中近三分之一来自政府机构，他们正在与Barracuda及“多个政府和情报合作伙伴”合作，以调查和应对该漏洞。澳大利亚首都领地政府，作为国家防卫、安全、情报和外交等机构的总部，上周表示其已遭到攻击，存在“强烈可能性”数据被窃取的风险。

“受攻击的组织遍及全球公私部门。大部分的攻击活动似乎影响了美洲地区，但这可能部分反映了产品的客户基础。”研究人员表示。

灵活的战术、技术与程序TTPs和大量恶意软件

此次攻击的其他显著特征包括，UNC4841在获得对ESG的访问后，通过受害者的网络实现横向移动，并从受损的设备向其他受害者组织的ESG发送电子邮件。

在发现零日漏洞后，黑客组织展示了其根据Barracuda的修复措施改变战术、技术和程序TTPs的能力，Mandiant指出。Barracuda已于5月21日开始发布漏洞的补丁，而在次日，威胁行为者便开始修改其恶意软件并增加持久性机制以维持访问。在5月22日至24日期间，它对位于至少16个不同国家的多个受害者进行了“高频率操作，”Mandiant表示。

“我们预计UNC4841将继续调整其TTPs并修改其工具包，尤其是在网络防御者继续针对该对手采取行动，并且其活动被信息